IPv6: ¿Debería tener direcciones privadas?

Pregunta:

Ahora mismo, tenemos un bastidor de servidores. Cada servidor en este momento tiene al menos 2 direcciones IP, una para la interfaz pública y otra para la privada. Los servidores que tienen sitios web SSL tienen más direcciones IP. También tenemos servidores virtuales, que están configurados de manera similar.

Red privada

Actualmente, el rango privado solo se usa para respaldos y monitoreo. Es un puerto gigabit, el uso de la interfaz no suele ser muy alto. Hay otras tecnologías que estamos considerando usar que usarían este puerto:

  • iSCSI (las implementaciones generalmente recomiendan dedicarle una interfaz, que sería otra red IP más),
  • VPN para acceder al rango privado (algo que prefiero evitar)
  • servidores de bases de datos dedicados
  • LDAP
  • configuración centralizada (como marioneta)
  • registro centralizado

No tenemos ninguna dirección privada en nuestros registros DNS (solo direcciones públicas). Para que nuestros servidores utilicen la dirección IP correcta para la interfaz correcta (y no codifiquen la dirección IP) probablemente sea necesario configurar un servidor DNS privado (por lo que ahora agregamos 2 entradas dns diferentes a 2 sistemas diferentes).

Red pública

Nuestra gama pública tiene una variedad de servicios que incluyen web, correo electrónico y ftp. Existe un firewall de hardware entre nuestra red y la red "pública". Tenemos un método (relativamente seguro) para indicarle al firewall que abra y cierre el acceso administrativo (interfaces web, ssh, etc.) para nuestra dirección IP actual. Con cualquiera de las soluciones discutidas, los firewalls basados ​​en host también se configurarán.

La red pública actualmente se ejecuta en un enlace dedicado de 20 Mbps. Hay un par de servidores heredados con puertos fast-ethernet, pero están programados para su desmantelamiento. Todas las demás cajas de producción tienen al menos 2 puertos Gigabit Ethernet. Los servidores con más tráfico tienen 4-6 disponibles (ninguno usa más de los 2 puertos Gigabit en este momento).

IPv6

Quiero obtener un prefijo IPv6 de nuestro ISP. Entonces, al menos cada "servidor" tiene al menos una interfaz IPv6. Todavía necesitaremos mantener los destinatarios IPv4 activos y disponibles para los clientes heredados (servidores web y correo electrónico como mínimo).

Tenemos dos redes IP en este momento. Agregar la dirección IPv6 pública lo convertiría en tres.

¿Solo usa IPv6?

Estoy pensando en deshacerme del rango privado de IPv4 y usar el rango de IPv6 como el medio principal de todas las comunicaciones. Si una interfaz comienza a alcanzar su capacidad, utilice las nuevas interfaces libres para crear un tronco.

Tiene la ventaja de que si el tráfico público o privado necesita superar 1Gbps. El tráfico de cada interfaz ya se analiza de forma regular para predecir el uso futuro del ancho de banda. En los raros casos en los que el ancho de banda alcanza picos inesperados: utilice QoS para garantizar que el tráfico (como nuestro acceso SSH limitado) se priorice correctamente para que el problema pueda corregirse (si es posible, nuestra WAN es el cuello de botella en este momento).

También tiene la ventaja de que no es necesario realizar una entrada para cada dirección privada. Es posible que tengamos DNS privados (o solo LDAP), pero tendrá un alcance mucho más limitado con menos entradas para duplicar.

Resumen

Estoy tratando de hacer que esta red sea lo más "simple" posible. Al mismo tiempo, quiero asegurarme de que sea confiable, actualizable, escalable y (eventualmente) redundante. Tener una red IPv6 y una red IPv4 heredada me parece la mejor solución.

Con respecto al uso de direcciones IPv6 asignadas para ambas redes, compartir el ancho de banda disponible en una (más troncales si es necesario):

  • ¿Existen desventajas técnicas (limitaciones, búferes, escalabilidad)?
  • ¿Hay otras consideraciones de seguridad (además de los firewalls mencionados anteriormente) a considerar?
  • ¿Existen regulaciones u otros requisitos de seguridad (como PCI-DSS) que esto no cumple?
  • ¿Existe un software típico para configurar una red Linux que aún no sea compatible con IPv6? (tala, LDAP, marioneta)
  • ¿Alguna otra cosa que no consideré?

Respuesta:

Muy bien, respondamos por partes

1) Direcciones privadas

ipv6 tiene diferentes "alcances" para que pueda tener un alcance local y un alcance global, ipv6 es lo suficientemente inteligente como para saber quién es qué y regular el tráfico en consecuencia para que pueda tener una red local no enrutable en ipv6 sin ningún problema, en realidad viene por defecto como eso

2) Descargue ipv4 y ejecute solo ipv6

Todas las implementaciones de ipv6 hasta ahora son de doble pila, por lo que puede ejecutar ambas cómodamente, y definitivamente le recomendaría que ejecute ambas, no hay ningún daño al hacer eso e ipv4 no desaparecerá por mucho tiempo, aunque ipv6 es muy bueno eliminar completamente ipv4 no es algo que haría.

3) Preguntas breves

a) ¡Sin inconvenientes técnicos, al contrario! Un montón de cosas interesantes, asignación automática de direcciones, anycast, ipsec nativo, es bastante bueno b) Los firewalls deberían ser buenos, pero hay algunas reglas de firewall específicas a las que debe prestar atención, como permitir el tráfico de alcance de enlace local, permitir la multidifusión en ipv6 y deshabilite el procesamiento de paquetes RH0, también tenga en cuenta que icmpv6 es un protocolo completamente nuevo e ipv6 depende mucho más de él que icmp en ipv4, por lo que filtrarlo no es una buena idea c) Hasta donde yo sé, la mayoría de los servicios de linux son compatibles ipv6 sin ningún problema, doble pila ftw!

Además, no está mal familiarizarse con todas las nuevas especificaciones de ipv6, eche un vistazo a http://en.wikipedia.org/wiki/IPv6 para empezar

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top

web tasarım